Двоступеневий доступ користувача для Ubuntu за допомогою Google Authenticator

Нещодавно Google запущено двоступенева автентифікація для вашої електронної пошти це, по суті, 6-значний додаток для генерації коду на вашому мобільному телефоні, що дозволяє подвійно перевірити доступ до електронної пошти більш безпечним способом, маючи випадковий числовий код, який змінюється зі швидкістю одна хвилина і який потрібно ввести після введення звичного пароля. Це подвійне підтвердження також може бути реалізований в Ubuntu для автентифікації входу користувача у два етапи - інструмент, який не дозволить допитливим потрапити на ваш комп’ютер, навіть якщо вони знають ваш основний пароль.

Це внесок від Жайро Дж. Родрігеса, ставши таким чином одним із переможців нашого щотижневого конкурсу: «Поділіться своїми знаннями про Linux«. Вітаємо Хайро!

Ось невеликий навчальний посібник, щоб виконати це впровадження:

Крок 1: Встановіть Google Authenticator на свій мобільний телефон

Завантажте Google Authenticator на свій мобільний телефон. Для користувачів Android я залишаю тут таке посилання:

Додаток також доступний для Iphone і Blackberry.

Крок 2: Завантажте пакет для UBUNTU

Додайте наступний PPA до списку джерел пакетів, запустивши команду нижче з консолі:

sudo add-apt-repository ppa: невдала оболонка / стабільна

Крок 3: Оновіть списки програм

Виконайте таку команду, щоб оновити базу даних джерел PPA у вашій системі:

Суду apt-get поновлення

Крок 4: Встановіть модуль для PAM (підключається модуль автентифікації)

Виконайте вкладену команду, це встановить у вашій системі два файли для встановлення двоетапної автентифікації: /lib/security/pam_google_authenticator.so та / usr / bin / google-authentator.

sudo apt-get install libpam-google-authentication

Крок 5: Налаштуйте обліковий запис доступу

Тепер необхідно виконати з консолі команду "google-authentication" для налаштування облікового запису, з якого ви увійшли в систему. Після виконання команди на екрані з’явиться QR-код. Ви повинні використовувати програму (Google Authenticator), щойно встановлену на вашому мобільному телефоні, щоб отримати коди автентифікації, пов’язані з вашим логіном.

Я рекомендую зробити "екран друку" або знімок екрана QR-коду, щоб пізніше можна було пов'язати інші пристрої.

Крок 6: Налаштуйте PAM для використання двофакторної автентифікації.

Відкрийте термінал і додайте наступний рядок до файлу /etc/pam.d/sudo та використовуйте sudo vi або sudo gvim, щоб внести зміни:

авторизація потрібна pam_google_authenticator.so
Примітка. Бажано залишити поточний сеанс відкритим, оскільки, якщо ви помилились у конфігурації, ви зможете змінити всі зміни.

Відкрийте новий термінал і запустіть:

sudo ls

Система запитає пароль, а потім запит на "Код підтвердження:". Введіть спостережувані цифри у програмі Google Authenticator на своєму мобільному телефоні.

У вас буде приблизно три хвилини від зміни коду номера. Незалежно від того, чи змінюється номер коду, він залишатиметься активним протягом двох додаткових хвилин.

Якщо все піде добре, відредагуйте файл /etc/pam.d/sudo ще раз, видаливши доданий вами рядок "auth required pam_google_authenticator.so", збережіть і закрийте.

Тепер для отримання найкращого захисту реалізовано двохетапну перевірку, додайте із sudo vi, sudo gvim або будь-яким іншим редактором за вашим уподобанням, але завжди з sudo, рядок «auth required pam_google_authenticator.so» до файлу «/etc/pam.d/ auth »І відтепер будь-яка перевірка вимагатиме подвійної автентифікації.

Якщо ви хочете бути менш обмежувальними, ви можете використовувати будь-який інший файл у каталозі /etc/pam.d, залежно від ваших потреб у безпеці.


7 коментарі, залиште свій

Залиште свій коментар

Ваша електронна адреса не буде опублікований. Обов'язкові для заповнення поля позначені *

*

*

  1. Відповідальний за дані: Мігель Анхель Гатон
  2. Призначення даних: Контроль спаму, управління коментарями.
  3. Легітимація: Ваша згода
  4. Передача даних: Дані не передаватимуться третім особам, за винятком юридичних зобов’язань.
  5. Зберігання даних: База даних, розміщена в мережі Occentus Networks (ЄС)
  6. Права: Ви можете будь-коли обмежити, відновити та видалити свою інформацію.

  1.   Данило - сказав він

    PPA не працює для мене в Mint XFCE.
    Думаю, нам доведеться почекати кілька днів, поки він буде доступний для цього дистрибутива.

  2.   Давайте використовувати Linux - сказав він

    Ну, у вашому випадку я розумію, що це було б лайтдм.
    Коли справа доходить до "фальсифікації", це все ... хтось із незначними технічними знаннями і хто знає, який файл шукати, може обійти, начебто, складнішу систему безпеки. Це, якщо ця особа має фізичний доступ до вашого комп’ютера. Тому ця система дійсно корисна у випадках, коли виконуються віддалені входи, наприклад, при використанні sshd.
    На здоров’я! Павло.

  3.   Білл - сказав він

    У моїй папці pam.d є:

    /etc/pam.d/lightdm
    /etc/pam.d/kdm

    (Я використовую Ubuntu 12.04 і у мене встановлено KDE, навіть незважаючи на те, що на моєму робочому столі є Gnome 3.4)

    Але при додаванні авторизації це не дозволяє мені увійти, він говорить мені: "критична помилка", я повинен був залишити їх так, як вони були з терміналу в "Режимі відновлення"

    Решта про sshd мені не дуже зрозуміла, але рекомендація зробити справді систему більш безпечною та менш "недоторканною" була б дуже корисною. Я використовую Linux близько 3 років серед багатьох причин його надійності та безпеки, і я завжди шукаю спосіб ускладнити все, додати рівні та безпеку, як я сказав "ПОРАДА" про те, як правильно використовувати двоетапну перевірку в Ubuntu було б чудово. =)

  4.   Давайте використовувати Linux - сказав він

    Залежно від системи, яку ви використовуєте, це один із таких варіантів:
    /etc/pam.d/gdm
    /etc/pam.d/lightdm
    /etc/pam.d/kdm
    /etc/pam.d/lxdm
    і т.п.

    Крім того, дозвольте пояснити, що має сенс використовувати його з sshd, наприклад, ніж із входом на комп’ютер. З тієї простої причини, що секретний ключ зберігається у папці у вас вдома, щоб хтось, хто має доступ до вашого комп’ютера, міг запустити з livecd, скопіювати ключ та створити власну пару токенів. Так, це правда, що це "ускладнює справи", але це не недоторканна система ... хоча це дуже класно.

    Така сама проблема не існувала б для процесів, які вимагають віддаленого входу, наприклад sshd.

    На здоров’я! Павло.

  5.   Білл - сказав він

    Гаразд, це все, якщо я хочу активувати перевірку лише у 2 кроки для входу до якого файлу я додаю "auth required pam_google_authenticator.so" у pam.d?

    Дякую Відмінний ресурс!

  6.   KEOS - сказав він

    якщо це працює, у мене є 12.04, і я додав РЕП PPA

  7.   Білл - сказав він

    PPA не працює на Ubuntu 12.04 Будь-які рішення?

    Ура